SPF
15 marzo 2020 Roberto Puzzanghera0 commenti
- Qui alcune informazioni su cosa è SPF
Prima di tutto è necessario creare il record PDF nel proprio name server. Puoi usare questa procedura guidata che ti conduce alla creazione del record, che più o meno dovrà essere una cosa del genere:
yourdomain.tld. IN TXT "v=spf1 mx a ip4:<your-ip>/32 ip4:<your-localnet>/24 include:alloweddomain.tld -all"
Se il tuo server mx compare anche nella DMZ del tuo name server (DeMilitarized Zone) sarà bene aggiungere un record pressochè identico anche lì, per evitare un tentativo di spoofing da parte di uno spammer che ti invia messaggi utilizzando proprio il tuo dominio nell'indirizzo del mittente.
Il comportamento di SPF è controllato dal file /var/qmail/control/spfbehavior. Si può specificare un valore tra 0 e 6:
- 0 disabilitato (Default). Non esegue il controllo controlla SPF, non crea la riga Received-SPF nell'intestazione
- 1 seleziona la modalità 'solo annotazione', nella quale qmail-smtpd annoterà le email in arrivo con il campo Received-SPF, ma non rigetterà i messaggi in nessun caso.
- 2 produce un temporaneo fallimento nei problemi di lettura del DNS di modo che si può essere sicuri di intestazioni Received-SPF di un qualche significato.
- 3 seleziona la modalità 'rigetta', dove le email in ingresso vengono rigettate se il record SPF dice 'fail'.
- 4 seleziona una modalità di rigetto anche più severa, che è come la modalità porecedente, ma le email in arrivo vengono rigettate abnhce nel caso il record SPF dica 'softfail'.
- 5 vengono rigettate anche le email con record SPF 'neutral'
- 6 se non è proprio disponibile il record SPF (o si è verificato un errore di sintassi) il messaggio viene respinto.
Il contenuto di questo file viene sovrascritto dal valore della variabile di ambiente SPFBEHAVIOR (se è stata impostata, tipicamente in /etc/tcprules.d/tcp.smtp).
Valori superiori a 3 sono fortemente sconsigliati, mentre normalmente si imposta un valore pari a 2 o 3.
Test
Controllare come prima cosa l'intestazione del messaggio in arrivo. Si dovrebbe trovare una riga "Received-SPF" come questa nel caso di SPF non abilitato
Received-SPF: none (0: domain at does not designate permitted sender hosts)
o come questa nel caso di un SPF abilitato e regolare:?
Received-SPF: pass(0: SPF record at designates x.x.x.x as permitted sender)
Per testare il rigetto impostare temporaneamente il valore più alto 6 e riavviare qmail. Dopo di chè inviare un email con un mittente fasullo connettendosi al server da remoto; il messaggio dovrebbe essere rigettato con un messaggio come questo:
# telnet qmail.yourserver.net 25 Trying [remote-IP]... Connected to [remote-IP]. Escape character is '^]'. 220 qmail.yourserver.net ESMTP mail from: test@nospfdomain.net 250 ok rcpt to: user@yourdomain.net 550 See http://spf.pobox.com/why.html?sender=test%40nospfdomain.net&ip=[sender-IP]&receiver=0 (#5.7.1) quit 221 qmail.yourserver.net Connection closed by foreign host.
Ricordarsi di ripristinare a 2 o 3 il file /var/qmail/control/spfbehavior.
Aggiungi un commento
qmail notes
Pay me a coffee:
Other contents
Guide per gli utenti
Ultimi commenti
Messaggio nei log
17 maggio 2021 19:20
Messaggio nei log
17 maggio 2021 19:10
Messaggio nei log
17 maggio 2021 14:58
Lua backend
27 aprile 2021 19:41
error with make install-strip
19 aprile 2021 20:21
error with make install-strip
19 aprile 2021 20:11
Running OpenBoardW
26 marzo 2021 15:51
Running OpenBoardW
26 marzo 2021 15:44
.qmail-defau .qmail-default
24 marzo 2021 12:08
.qmail-defau .qmail-default
24 marzo 2021 10:02
Tags
apache clamav dkim dovecot ezmlm fail2ban ftp guide hacks lamp letsencrypt linux linux-vserver lxc mariadb mediawiki mozilla mysql openboard owncloud patches php proftpd qmail qmailadmin rbl roundcube rsync sieve simscan slackware spamassassin spf ssh ssl tcprules tex ucspi-tcp vpopmail vqadmin